CN111756765A - 一种基于SaaS平台的系统安全架构 - Google Patents
一种基于SaaS平台的系统安全架构 Download PDFInfo
- Publication number
- CN111756765A CN111756765A CN202010621664.5A CN202010621664A CN111756765A CN 111756765 A CN111756765 A CN 111756765A CN 202010621664 A CN202010621664 A CN 202010621664A CN 111756765 A CN111756765 A CN 111756765A
- Authority
- CN
- China
- Prior art keywords
- encryption
- layer
- management
- maintenance
- saas platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了基于SaaS平台的系统安全架构,包括用户登录模块、网络服务器、运维管理模块和运维数据库;对于所述用户登录模块设置有访问控制层,所述访问控制包括身份验证和权限管理;对于所述网络服务器设置有安全合规层,所述安全合规层符合GDPR;对于所述运维管理模块设置有管理防护层,所述管理防护层包括堡垒机和WAF等;对于所述运维数据库设置有SSL加密层,包括数据加密解密、文件加密解密服务、云盘加密、DLP、硬件加密机、入侵防护等;本发明根据SaaS系统的主要架构分别设置独立的安全防护层,并且平台上各租户之间采用独立数据库,用户数据隔离级别高,安全性好。
Description
技术领域
本发明属于系统架构,尤其涉及一种基于SaaS平台的系统安全架构。
背景技术
系统安全是每个系统能否正常运转的关键,SaaS的基本特征决定了系统安全的重要性。SaaS系统和传统自建的系统之间有一个重要的区别,就是标准的SaaS系统是多重租赁的,也就是多个不同的企业共用一套软件和数据库平台,数据由用户管理,企业用户的所有业务数据都存储在作为企业核心数据的saas供应商上,数据的安全性完全取决于系统的设计和为此建立的安全保证体系。虽然是经过隔离及保密技术,但其特点是多个企业同时使用,因此,有没有严格的保护安全技术很重要,也是选型的关注点之一。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于SaaS平台的系统安全架构。
本发明的的目的可以通过以下技术方案来实现:
基于SaaS平台的系统安全架构,包括用户登录模块1、网络服务器2、运维管理模块3和运维数据库4;对于所述用户登录模块1设置有访问控制层5,所述访问控制层5包括身份验证和权限管理;对于所述网络服务器2设置有安全合规层6,所述安全合规层6符合GDPR;对于所述运维管理模块3设置有管理防护层7,所述管理防护层7包括堡垒机和WAF等;对于所述运维数据库4设置有SSL加密层8,包括数据加密解密、文件加密解密服务、图片转成二进制流加密存储、OSS服务端加密、透明数据加密TDE、云盘加密、DLP、硬件加密机、入侵防护HIDS/EDR等。
优选的,所述访问控制层5中的身份验证具体为是否支持双因子认证、密码复杂度、登录失败处理、验证码、强制修改初始密码;权限管理具体为基于角色的用户权限系统,对用户和角色进行授权。
优选的,所述安全合规层6中的GDPR具体为通用数据保护条例,保护个人隐私,以及爬虫、AI等技术的应用带来的风险。
优选的,所述管理防护层7中的堡垒机包括身份认证及授权管理、运维事件实时控制和运维事件事后审计功能;WAF为Web应用防护系统。
优选的,所述SSL加密层8包括数据加密解密、文件加密解密服务、图片转成二进制流加密存储、OSS服务端加密、透明数据加密TDE、云盘加密、DLP、硬件加密机、入侵防护HIDS/EDR等。
优选的,所述运维数据库4设置为独立数据库。
本发明的有益效果:本发明根据SaaS系统的主要架构分别设置独立的安全防护层,并且平台上各租户之间采用独立数据库,用户数据隔离级别高,安全性好。
附图说明
图1为本发明基于SaaS平台的系统安全架构的整体方框示意图;
图中:1、用户登录模块;2、网络服务器;3、运维管理模块;4、运维数据库;5、访问控制层;6、安全合规层;7、管理防护层;8、SSL加密层。
具体实施方式
结合附图所示,本发明的技术方案作进一步的描述:
如图1图示所述可知,基于SaaS平台的系统安全架构,包括用户登录模块1、网络服务器2、运维管理模块3和运维数据库4;对于所述用户登录模块1设置有访问控制层5,所述访问控制层5包括身份验证和权限管理;对于所述网络服务器2设置有安全合规层6,所述安全合规层6符合GDPR;对于所述运维管理模块3设置有管理防护层7,所述管理防护层7包括堡垒机和WAF等;对于所述运维数据库4设置有SSL加密层8,包括数据加密解密、文件加密解密服务、图片转成二进制流加密存储、OSS服务端加密、透明数据加密TDE、云盘加密、DLP、硬件加密机、入侵防护HIDS/EDR等;本发明根据SaaS系统的主要架构分别设置独立的安全防护层,整体安全性能更高。
本实施例中优选的,所述访问控制层5中的身份验证具体为是否支持双因子认证、密码复杂度、登录失败处理、验证码、强制修改初始密码;权限管理具体为基于角色的用户权限系统,对用户和角色进行授权;当用户登录时首先验证用户身份信息,只能识别客户对敏感业务操作,保护客户操作端信息安全。
本实施例中优选的,所述安全合规层6中的GDPR具体为通用数据保护条例,保护个人隐私,以及爬虫、AI等技术的应用带来的风险,提高SaaS平台系统的安全性。
本实施例中优选的,所述管理防护层7中的堡垒机包括身份认证及授权管理、运维事件实时控制和运维事件事后审计功能;WAF为Web应用防护系统,用户在操作过程中更安全。
本实施例中优选的,所述SSL加密层8包括数据加密解密、文件加密解密服务、图片转成二进制流加密存储、OSS服务端加密、透明数据加密TDE、云盘加密、DLP、硬件加密机、入侵防护HIDS/EDR等,保护运维数据库4数据不被泄露和丢失。
本实施例中优选的,所述运维数据库4设置为独立数据库,用户数据隔离级别高,安全性好。
最后应说明的是:
以上实施例仅用以说明而非限制本发明的技术方案,尽管参照上述实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围,而所附权利要求意在涵盖落入本发明精神和范围中的这些修改或者等同替换。
Claims (6)
1.基于SaaS平台的系统安全架构,包括用户登录模块(1)、网络服务器(2)、运维管理模块(3)和运维数据库(4),其特征在于:对于所述用户登录模块(1)设置有访问控制层(5),所述访问控制层(5)包括身份验证和权限管理;对于所述网络服务器(2)设置有安全合规层(6),所述安全合规层(6)符合GDPR;对于所述运维管理模块(3)设置有管理防护层(7),所述管理防护层(7)包括堡垒机和WAF等;对于所述运维数据库(4)设置有SSL加密层(8),包括数据加密解密、文件加密解密服务、图片转成二进制流加密存储、OSS服务端加密、透明数据加密TDE、云盘加密、DLP、硬件加密机、入侵防护(HIDS/EDR)等。
2.根据权利要求1所述的基于SaaS平台的系统安全架构,其特征在于:所述访问控制层(5)中的身份验证具体为是否支持双因子认证、密码复杂度、登录失败处理、验证码、强制修改初始密码;权限管理具体为基于角色的用户权限系统,对用户和角色进行授权。
3.根据权利要求1所述的基于SaaS平台的系统安全架构,其特征在于:所述安全合规层(6)中的GDPR具体为通用数据保护条例,保护个人隐私,以及爬虫、AI等技术的应用带来的风险。
4.根据权利要求1所述的基于SaaS平台的系统安全架构,其特征在于:所述管理防护层(7)中的堡垒机包括身份认证及授权管理、运维事件实时控制和运维事件事后审计功能;WAF为Web应用防护系统。
5.根据权利要求1所述的基于SaaS平台的系统安全架构,其特征在于:所述SSL加密层(8)包括数据加密解密、文件加密解密服务、图片转成二进制流加密存储、OSS服务端加密、透明数据加密TDE、云盘加密、DLP、硬件加密机、入侵防护(HIDS/EDR)等。
6.根据权利要求1所述的基于SaaS平台的系统安全架构,其特征在于:所述运维数据库(4)设置为独立数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010621664.5A CN111756765A (zh) | 2020-06-30 | 2020-06-30 | 一种基于SaaS平台的系统安全架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010621664.5A CN111756765A (zh) | 2020-06-30 | 2020-06-30 | 一种基于SaaS平台的系统安全架构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111756765A true CN111756765A (zh) | 2020-10-09 |
Family
ID=72680264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010621664.5A Pending CN111756765A (zh) | 2020-06-30 | 2020-06-30 | 一种基于SaaS平台的系统安全架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111756765A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023142070A1 (zh) * | 2022-01-29 | 2023-08-03 | 中远海运科技股份有限公司 | 面向云主机和云堡垒机实现云主机权限联动的方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104104679A (zh) * | 2014-07-18 | 2014-10-15 | 四川中亚联邦科技有限公司 | 一种基于私有云的数据处理方法 |
| CN104123616A (zh) * | 2014-07-25 | 2014-10-29 | 南京邮电大学 | 一种面向多租户的云计算系统 |
| CN104767745A (zh) * | 2015-03-26 | 2015-07-08 | 浪潮集团有限公司 | 一种云端数据安全保护方法 |
| CN104994089A (zh) * | 2015-06-29 | 2015-10-21 | 浪潮(北京)电子信息产业有限公司 | 一种云数据中心安全系统 |
| US20170331813A1 (en) * | 2016-05-11 | 2017-11-16 | Oracle International Corporation | Task segregation in a multi-tenant identity and data security management cloud service |
| CN107566374A (zh) * | 2017-09-07 | 2018-01-09 | 山东超越数控电子有限公司 | 一种基于用户隔离存储的云存储数据保护方法及系统 |
-
2020
- 2020-06-30 CN CN202010621664.5A patent/CN111756765A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104104679A (zh) * | 2014-07-18 | 2014-10-15 | 四川中亚联邦科技有限公司 | 一种基于私有云的数据处理方法 |
| CN104123616A (zh) * | 2014-07-25 | 2014-10-29 | 南京邮电大学 | 一种面向多租户的云计算系统 |
| CN104767745A (zh) * | 2015-03-26 | 2015-07-08 | 浪潮集团有限公司 | 一种云端数据安全保护方法 |
| CN104994089A (zh) * | 2015-06-29 | 2015-10-21 | 浪潮(北京)电子信息产业有限公司 | 一种云数据中心安全系统 |
| US20170331813A1 (en) * | 2016-05-11 | 2017-11-16 | Oracle International Corporation | Task segregation in a multi-tenant identity and data security management cloud service |
| CN107566374A (zh) * | 2017-09-07 | 2018-01-09 | 山东超越数控电子有限公司 | 一种基于用户隔离存储的云存储数据保护方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023142070A1 (zh) * | 2022-01-29 | 2023-08-03 | 中远海运科技股份有限公司 | 面向云主机和云堡垒机实现云主机权限联动的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109729180B (zh) | 全体系智慧社区平台 | |
| CN102722576B (zh) | 一种云计算环境下数据库加密保护系统和加密保护方法 | |
| CN112329031A (zh) | 一种基于数据中台的数据权限控制系统 | |
| CN105656903A (zh) | 一种Hive平台的用户安全管理系统及应用 | |
| CN102156844A (zh) | 一种电子文档在线离线安全管理系统的实现方法 | |
| CN104166812A (zh) | 一种基于独立授权的数据库安全访问控制方法 | |
| CN103095720B (zh) | 一种基于会话管理服务器的云存储系统的安全管理方法 | |
| CN109067697B (zh) | 一种用于混合云的用户账户管控方法及可读介质 | |
| CN106657011A (zh) | 一种业务服务器授权安全访问方法 | |
| JPH07502847A (ja) | ネットワーク秘密保護を行う装置および方法 | |
| CN102170424A (zh) | 基于三级安全体系架构的移动介质安全防护系统 | |
| CN112417391A (zh) | 信息数据安全处理方法、装置、设备及存储介质 | |
| CN106603488A (zh) | 一种基于电网统计数据搜索方法的安全系统 | |
| CN109936555A (zh) | 一种基于云平台的数据存储方法、装置及系统 | |
| CN101635704A (zh) | 一种基于可信技术的应用安全交换平台 | |
| CN111756765A (zh) | 一种基于SaaS平台的系统安全架构 | |
| Raza et al. | Security and management framework for an organization operating in cloud environment | |
| CN113162950A (zh) | 一种基于i国网的移动应用二次权限认证与管理系统 | |
| CN110572279A (zh) | 特权账号安全管理系统 | |
| CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
| CN115022044A (zh) | 一种基于多云架构的存储方法和系统 | |
| CN115604028A (zh) | 一种云服务器数据安全保护系统 | |
| CN108600178A (zh) | 一种征信数据的安全保障方法及系统、征信平台 | |
| CN113487280A (zh) | 一种基于云平台的会议管理系统 | |
| Ziglari et al. | Deployment models: Enhancing security in cloud computing environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20201009 |